すべてのプロダクト
Search

このプロダクト

    Resource Access Management:SCIM を使用した Okta ユーザーの RAM へのプロビジョニング

    ドキュメントセンター

    Resource Access Management:SCIM を使用した Okta ユーザーの RAM へのプロビジョニング

    最終更新日:Jun 18, 2026

    SCIM 2.0 プロトコルを使用して、Okta から Alibaba Cloud Resource Access Management (RAM) にユーザーを自動的にプロビジョニングできます。

    前提条件

    • RAM 管理者、または OAuth アプリケーションを管理する権限を持つ RAM ユーザーが必要です。

    • Okta 管理者 (スーパー管理者) アカウントが必要です。

    背景情報

    • ユーザーの作成:Okta でアプリケーションにユーザーを割り当てると、RAM は同じユーザー名で RAM ユーザーを自動的に作成します。Okta ユーザー名のドメインサフィックスは、RAM ユーザードメインに置き換えられます。

    • ユーザー属性の更新:Okta でユーザー属性を変更すると、変更内容が対応する RAM ユーザーに自動的に同期されます。これは、Okta で自動属性更新が有効になっているかどうかに依存します。サポートされているのは UserName と DisplayName のみです。

    • ユーザーの非アクティブ化:Okta でアプリケーションからユーザーを削除または割り当て解除すると、Okta はユーザーステータスを active=false に設定します。RAM はユーザーの有効化または無効化をサポートしていないため、RAM ユーザーは変更されません。

    • グループのプロビジョニング:Okta グループの同期はサポートされていません。

    ステップ 1:OAuth アプリケーションの作成と認可

    1. OAuth アプリケーションを作成します。

      1. RAM コンソールにログインします。

      2. 左側のナビゲーションペインで、Integrations > OAuth Previewを選択します。

      3. エンタープライズアプリケーション タブで、アプリケーションの作成 をクリックします。

      4. アプリケーションの作成 ページで、アプリケーションパラメーターを設定します。

        1. アプリケーション名 表示名 を入力します。

        2. アプリケーションタイプ には、 ネイティブアプリケーション を選択します。

        3. アクセストークンの有効期間 を設定します。

        4. トークンの有効期間のリフレッシュ を設定します。

      5. アプリケーションの作成 をクリックします。

    2. アプリケーションスコープを認可します。

      1. エンタープライズアプリケーション タブで、対象のアプリケーション名をクリックします。

      2. OAuth スコープ タブで、OAuth スコープの追加 をクリックします。

      3. OAuth スコープの追加 パネルで、/acs/scim を選択します。

      4. OK をクリックします。

    3. アプリケーションシークレットを作成します。

      1. App Secret タブをクリックし、次に Secret の作成 をクリックします。

      2. Secret の作成 ダイアログボックスで、アプリケーションシークレットを表示してコピーし、閉じる をクリックします。

        重要

        アプリケーションシークレット (AppSecretValue) は一度しか表示されません。後から取得することはできないため、コピーして安全に保管してください。

    ステップ 2:Okta でのアプリケーションの作成

    1. Okta ポータルにログインします。

    2. [Okta Admin Console] のナビゲーションペインで、[Applications] > [Applications] を選択します。

    3. [Applications] ページで、[Create App Integration] をクリックします。

    4. [Create a new app integration] ダイアログボックスで、[SAML 2.0] を選択し、[Next] をクリックします。

    5. [General Settings] ページで、[App name] に AliyunSSODemo などの名前を入力し、[Next] をクリックします。

    6. [Configure SAML] ページで、[SAML Settings] セクションに以下の値を設定し、[Next] をクリックします。

      • [Single sign-on URL]: 前のステップで記録した Location の値を入力します。

      • [Audience URI (SP Entity ID)]: 前のステップで記録した entityID の値を入力します。

      • [Default RelayState]: SSO ログイン後にユーザーがリダイレクトされる URL です。空の場合、ユーザーは Alibaba Cloud 管理コンソールのホームページに遷移します。

        説明

        セキュリティ上の理由から、[Default RelayState] の値は *.aliyun.com、*.hichina.com、*.yunos.com、*.taobao.com、*.tmall.com、*.alibabacloud.com、または *.alipay.com など、Alibaba が所有するドメイン配下の URL である必要があります。そうでない場合、この設定は無視されます。

      • [Name ID format][Persistent] を選択します。

      • [Application username][Email] を選択します。

    7. [Feedback] ページで、アプリケーションタイプを選択し、[Finish] をクリックします。

    ステップ 3:Okta での SCIM プロビジョニングの構成

    1. SCIM プロビジョニングを有効にします。

      1. ステップ 2: Okta でアプリケーションを作成するで作成したアプリケーションで、[General] タブをクリックします。

      2. [アプリ設定] セクションで、[編集] をクリックします。

      3. [SCIM プロビジョニングの有効化] を選択し、[保存] をクリックします。

    2. SCIM 接続のパラメーターを設定します。

      1. [プロビジョニング] タブをクリックします。

      2. 左側のナビゲーションペインで、[統合] をクリックします。

      3. [SCIM Connection] セクションで [編集] をクリックし、次のパラメーターを設定します。

        • SCIM コネクタベース URL: https://scim.aliyun.com を入力します。

        • ユーザーの一意の識別子フィールドuserName を入力します。

        • サポートされているプロビジョニング アクション: [新規ユーザーのインポートとプロファイルの更新][新規ユーザーのプッシュ] を選択します。

          説明

          [プロファイル更新のプッシュ]は任意です。この機能は、属性の更新が自動的にプッシュされるかどうかを制御します。

        • 認証モード: OAuth 2.0 を選択します。

      4. OAuth 2.0 のパラメーターを設定します。

      5. [保存] をクリックします。

    3. リダイレクト URL を取得します。

      1. [プロビジョニング] タブの左側のナビゲーションペインで、[統合] をクリックします。

      2. ページの下部で、[<App Name> で認証] をクリックします。

      3. ポップアップウィンドウで、リダイレクト URL をコピーします。

      4. RAM コンソールにログインし、ステップ 1:OAuth アプリケーションの作成と認可で作成したアプリケーションにリダイレクト URL を追加します。

      5. Okta の設定ページに戻り、[<App Name> で認証] をクリックし、Alibaba Cloud コンソールにログオンして検証を完了します。

    4. ユーザープロビジョニングのパラメーターを設定します。

      1. [プロビジョニング] タブの左側のナビゲーションペインで、[アプリへ] をクリックします。

      2. [アプリへのプロビジョニング] セクションで、[編集] をクリックします。

      3. [ユーザーの作成] セクションで [有効化] を選択して [保存] をクリックします。

        説明

        [SCIM 接続] 設定で [プロファイル更新のプッシュ] を選択した場合は、[ユーザー属性の更新] も選択して [有効] に設定する必要があります。

      4. [<App Name> 属性マッピング] セクションで、属性マッピングを設定します。不要な属性を削除し、次の図に示す属性のみを保持します。

        83f45d68d4356cebde3339768163c69e.png

      5. [サインオン] タブで、[編集] をクリックします。

      6. [アプリケーションユーザー名形式][Okta ユーザー名プレフィックス] に設定し、[保存] をクリックします。

    5. アプリケーションにユーザーを割り当てます。

      1. [割り当て]タブで、[割り当て]をクリックします。

      2. アプリケーションにユーザーを割り当てるには、[ユーザーに割り当て] をクリックします。

    説明

    プロビジョニング中にエラーが発生した場合、[ログの表示] をクリックしてログを表示し、問題のトラブルシューティングを行うことができます。

    結果の確認

    これらの手順を完了すると、Okta ユーザーは RAM に自動的にプロビジョニングされます。RAM コンソールにログオンし、RAM ユーザーリストを確認します。プロビジョニングされたユーザーの場合、同期タイプSCIM ユーザーの同期 に設定されます。